Otorisasi domain untuk sertifikat yang dikelola Google

Halaman ini menjelaskan cara kerja otorisasi domain dengan sertifikat yang dikelola Google. Bagian ini membandingkan otorisasi load balancer dengan otorisasi DNS dan menjelaskan cara Certificate Manager memverifikasi kepemilikan domain menggunakan setiap metode.

Otorisasi domain tidak berlaku untuk sertifikat yang dikelola Google yang diterbitkan oleh Certificate Authority Service. Untuk informasi selengkapnya tentang sertifikat tersebut, lihat Men-deploy sertifikat yang dikelola Google dengan Certificate Authority Service.

Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain tempat Anda ingin menerbitkan sertifikat yang dikelola Google dengan salah satu cara berikut:

• Otorisasi load balancer lebih cepat dikonfigurasi, tetapi tidak mendukung sertifikat karakter pengganti. Load balancer juga hanya dapat menyediakan sertifikat setelah load balancer disiapkan sepenuhnya dan menyalurkan traffic jaringan.
• Otorisasi DNS mengharuskan Anda mengonfigurasi data DNS khusus tambahan untuk bukti kepemilikan domain, tetapi dapat menyediakan sertifikat di awal, sebelum proxy target siap untuk menyalurkan traffic jaringan. Dengan demikian, Anda dapat melakukan migrasi tanpa periode nonaktif dari solusi pihak ketiga ke Google Cloud.

Otorisasi load balancer

Cara paling sederhana untuk menerbitkan sertifikat yang dikelola Google adalah dengan otorisasi load balancer. Metode ini meminimalkan perubahan pada konfigurasi DNS Anda, tetapi hanya menyediakan sertifikat TLS (SSL) setelah semua langkah konfigurasi diselesaikan. Oleh karena itu, metode ini paling cocok untuk menyiapkan lingkungan dari awal tanpa traffic produksi yang mengalir hingga penyiapan selesai.

Untuk membuat sertifikat yang dikelola Google dengan otorisasi load balancer, deployment Anda harus memenuhi persyaratan berikut:

• Sertifikat yang dikelola Google harus dapat diakses di port 443 dari semua alamat IP yang melayani domain target; jika tidak, penyediaan akan gagal. Misalnya, jika Anda memiliki load balancer terpisah untuk IPv4 dan IPv6, Anda harus menetapkan sertifikat yang dikelola Google yang sama untuk setiap load balancer.
• Anda harus secara eksplisit menentukan alamat IP load balancer dalam konfigurasi DNS. Lapisan menengah, seperti CDN, dapat menyebabkan perilaku yang tidak dapat diprediksi.
• Domain target harus dapat diselesaikan secara terbuka dari Internet. Lingkungan firewall Split-horizon atau firewall DNS dapat mengganggu penyediaan sertifikat.

Otorisasi DNS

Jika Anda ingin sertifikat yang dikelola Google siap digunakan sebelum lingkungan produksi sepenuhnya disiapkan, misalnya sebelum memulai migrasi dari vendor lain ke Google Cloud, Anda dapat menyediakannya dengan otorisasi DNS. Dalam skenario ini, Certificate Manager menggunakan validasi berbasis DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS yang perlu Anda siapkan dan mencakup satu domain plus karakter penggantinya—misalnya, myorg.example.com dan *.myorg.example.com.

Saat membuat sertifikat yang dikelola Google, Anda dapat menentukan satu atau beberapa otorisasi DNS yang akan digunakan untuk penyediaan dan perpanjangan sertifikat tersebut. Jika menggunakan beberapa sertifikat untuk satu domain, Anda dapat menentukan otorisasi DNS yang sama di setiap sertifikat tersebut. Otorisasi DNS Anda harus mencakup semua domain yang ditentukan dalam sertifikat; jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.

Anda dapat mengelola sertifikat untuk setiap project secara terpisah menggunakan otorisasi DNS per project (Pratinjau). Artinya, Certificate Manager dapat menerbitkan dan mengelola sertifikat untuk setiap project secara independen di dalam Google Cloud. Otorisasi dan sertifikat DNS yang Anda gunakan dalam sebuah project bersifat mandiri dan tidak berinteraksi dengan otorisasi dalam project lain.

Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME untuk sub-domain validasi yang bertingkat dalam domain target ke konfigurasi DNS Anda. Data CNAME ini mengarah ke domain Google Cloud khusus yang digunakan Certificate Manager untuk memverifikasi kepemilikan domain. Certificate Manager menampilkan data CNAME saat Anda membuat otorisasi DNS untuk domain target.

Di sub-domain validasi, Pengelola Sertifikat mengekspos data TXT yang dibuat dari tantangan satu kali yang diterima dari CA. CA harus dapat mengakses data TXT ini untuk menyelesaikan verifikasi kepemilikan domain. Saat Anda membuat otorisasi DNS untuk domain target, Certificate Manager akan menampilkan data CNAME yang sesuai.

Data CNAME juga memberikan izin penyediaan dan perpanjangan sertifikat untuk domain tersebut kepada Pengelola Sertifikat dalam project Google Cloud target. Untuk mencabut izin ini, hapus data CNAME dari konfigurasi DNS Anda.

Untuk mengaktifkan otorisasi DNS per project, pilih PER_PROJECT_RECORD selama proses pembuatan otorisasi DNS. Setelah dipilih, Anda akan menerima data CNAME unik yang menyertakan subdomain dan target serta yang disesuaikan dengan project tertentu.

Tambahkan data CNAME ke zona DNS domain yang relevan.

Langkah selanjutnya

• Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial)
• Men-deploy sertifikat yang dikelola Google dengan otorisasi load balancer (tutorial)
• Men-deploy sertifikat yang dikelola Google dengan CA Service (tutorial)
• Men-deploy sertifikat yang dikelola sendiri (tutorial)
• Memigrasikan sertifikat ke Certificate Manager
• Mengelola sertifikat
• Mengelola peta sertifikat
• Mengelola entri peta sertifikat
• Mengelola otorisasi DNS
• Mengelola konfigurasi penerbitan sertifikat